martedì 17 ottobre 2017

Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili


Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 

Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 

Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

lunedì 16 ottobre 2017

Nuovo ransomware della famiglia CryptoMix: arriva .x1881


Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra. 

Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato. 

1. La nota di riscatto
La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime 

venerdì 13 ottobre 2017

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware


Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?

giovedì 12 ottobre 2017

Famiglia ransomware BTCware: individuata una nuova versione, Payday.



E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 

La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.

Ecco alcune differenze:

mercoledì 11 ottobre 2017

Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam


È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.
La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che

lunedì 9 ottobre 2017

Il malware BrickerBot blocca tutti i modem della fibra Wind e porta alla luce una falla enorme


Da diversi giorni la rete in fibra di Wind è completamente bloccata in quanto i modem sono risultati tutti inutilizzabili a causa di un BrickerBot, un malware sviluppato appositamente allo scopo di metterli fuori uso. Le vulnerabilità negli apparati di rete sono, purtroppo, un aspetto piuttosto comune. Tuttavia quando si tratta di BrickerBot significa che siamo di fronte a falle talmente grandi anche solo da immaginare.

venerdì 6 ottobre 2017

FormBook: il malware impiegato in una nuova campagna di furto dati


Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

giovedì 5 ottobre 2017

Attacco Roboto Condensed: falsi aggiornamenti dei browser usati per infettare i PC fino a renderli inutilizzabili.


Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader.  Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.

La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.

mercoledì 4 ottobre 2017

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.


Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo
Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni

martedì 3 ottobre 2017

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti


In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.
In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO
Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

lunedì 2 ottobre 2017

La botnet Necurs distribuisce Locky e TrickBot tramite campagne di spam.


La botnet Necurs (qui qualche dettaglio in più) sta inviando in questi giorni migliaia di email di spam al giorno: mail vettori dell'arcinoto ransomware Locky e del malware bancario TrickBot.

Le email di spam: Le email in distribuzione hanno come oggetto la dicitura Emailing: ScanXXXX (dove xxxx indica una serie casuale di 4 numeri), proveniente da mail con diversi domini, ma stesso nome sales@xxxxx.xx. Gli indirizzi email usati e gli oggetti delle mail stesse sono evidentemente finalizzati a spaventare, allertare, preoccupare chi riceve le email, secondo le più classiche linee guida dell'ingegneria sociale. La mail reca con sé un file .zip, rinominato come fosse un documento